使用 Javascript 访问 Google 身份识别代理 (IAP) 标头答案

【问题标题】：Accessing Google Identity Aware Proxy (IAP) Headers using Javascript使用 Javascript 访问 Google 身份识别代理 (IAP) 标头
【发布时间】：2021-03-31 10:53:11
【问题描述】：

我的 App Engine 实例目前受 Identity Aware Proxy (IAP) 保护。该应用程序是单页应用程序，没有后端，因此没有使用 python 等。是否仍然可以访问 X-Goog-Authenticated-User-Email 标头，然后基于它做一些事情？

我已尝试使用此代码访问控制台中的标题，但它不存在：

var req = new XMLHttpRequest();
req.open('GET', document.location, false);
req.send(null);
var headers = req.getAllResponseHeaders().toLowerCase();
alert(headers);

理想情况下，我会在我的一个 JS 文件中包含一些代码：

if X-Goog-Authenticated-User-Email == 'PersonA' then do this
else do this

【问题讨论】：

如果用户通过了身份验证，那么您的客户端代码（浏览器 JavaScript）知道用户是谁，或者可以通过 OAuth 配置文件范围获取该信息。（范围：googleapis.com/auth/userinfo.email）在此处了解更多信息：developers.google.com/identity/protocols/oauth2/scopes

标签： javascript google-app-engine http-headers

【解决方案1】：

X-Goog-Authenticated-User-Email 只能在服务器端访问。您无法在客户端访问此标头。

【讨论】：

【解决方案2】：

此信息在您的请求标头中可用。因此，如果您使用 express，您可以从 req 对象中提取它并将内容存储在变量中。通过它运行你的逻辑。 ** 编辑我的答案以添加一些上下文 ** 所以你可以这样做

var reqHeader = req.get('x-goog-authenticated-user-email'); 
// all ID's will have the prefix "acccounts.google.com:" -

因此您必须检查这是否是您想要运行逻辑的方式，或者您可以编辑标题以提取电子邮件。

【讨论】：